一位匿名的推特用户近日公布了一组据称从3Commas加密货币交易平台获得的10000个API密钥。
3Commas机器人程序使用这些API密钥,通过与诸多加密货币交易所进行交互为客户创造利润,不需要帐户凭据,即可代表用户执行自动化的投资和交易操作。
这名推特用户声称,泄露的API密钥只是他们持有的10万个API密钥当中的10%,并表示他们计划在接下来的几天悉数公布。
3Commas调查了泄露的数据,近日确认文件包含有效的API密钥。因此,该平台现在敦促所有支持的交易所吊销所有与3Commas关联的密钥,包括库币(Kucoin)、Coinbase和币安(Binance)。
图1
建议用户在所有关联的交易所上自行重新分发密钥,并联系3Commas支持人员,根据具体情况获得后续行动方面的建议。
此外该平台声称,它已经调查了泄漏系内鬼作案的可能性,但没有发现这方面的任何证据。
3Commas在推特上宣称:“只有一小部分的技术员工访问了基础设施;自11月19日以来,我们已经采取措施取消了他们的访问权限。”
该公司补充道:“从那时起,我们实施了新的安全措施,我们不会就此止步;我们正在展开全面调查,执法部门将参与其中。”
遗憾的是,3Commas花了很长时间才确认这起泄密事件;在过去几个月里,许多用户的账户似乎未经授权进行了交易,他们已经损失了资金。
12月28日,加密货币交易所币安首席执行官赵长鹏在推特上对其800万粉丝表示,他对该平台上发生的API密钥泄露一事“相当乐观”。他还对那些因本月早些时候3Commas API密钥泄露而蒙受经济损失的人寄予同情。但他已经建议该服务的客户停止使用。
图2
赵长鹏的爆料发生在12月9日的事件之后,当天币安暂停了一位前一天抱怨赔钱的用户的账户。该用户声称“低上限币的交易以推高价格从而获利”是使用被盗的3Commas API密钥进行的。币安表示,他们不会向该用户补偿损失。
12月11日,3Commas首席执行官Yuriy Sorokin在企业博客上声称,推特和YouTube上疯传的屏幕截图显示,该公司的安全措施不到位,员工在获取API密钥。Sorokkin对这些截图进行了彻底的技术调查,驳斥了这些说法。
首次传闻通过3Commas触发未经授权的交易出现在2022年10月,近几周更是甚嚣尘上。
11月,大量加密货币的持有者报告称,在3Commas以某种方式泄露用户凭据后,他们损失了价值大约600万美元的加密货币。
在这段时间里,这个交易平台拒绝考虑泄密的可能性,表示报告这些问题的用户肯定是网络钓鱼攻击的受害者,或者使用了非官方的木马应用程序。
2022年12月10日,在随后陆续有人声称使用泄露的API密钥进行未经授权交易之后,3Commas发布了一份调查最新通报,声称没有发现其系统遭到攻击的证据。
第二天,该平台发布了一篇新文章,驳斥了其员工窃取用户API密钥以盗取用户资产的说法。
3Commas用户声称存在未经授权的交易,却遭到该公司的断然拒绝,如今他们要求全额退款。
截至发稿时,3Commas尚未就可能的赔偿做出任何声明。IT安全外媒BleepingComputer已经联系该公司澄清这方面的问题,正在等待对方回复。
参考及来源:
https://www.bleepingcomputer.com/news/security/crypto-platform-3commas-admits-hackers-stole-api-keys/
https://informationsecuritybuzz.com/3commas-confirms-report-massive-key-leaked/